×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
 
[摘要]强监管背景下企业应当变被动为主动,启动企业数据安全合规体系建设,并持续关注国家监管趋势及政策的更新,为企业的稳健发展提供进一步的保障。

在上一篇文章《强监管背景下企业数据处理全流程的合规管理——数据的收集、存储篇》中,笔者团队就企业在数据的收集、存储阶段的合规义务进行了论述,本文将继续就企业在数据使用、数据传输(包括企业向第三方提供数据及数据出境)、数据删除等环节的合规义务再做进一步解析。


640 (17).png


一、企业数据使用的合规管理


“数据使用”作为数据收集的直接目的,是数据处理全流程中至关重要的一环,这一环节的合规与否直接关乎数据价值的实现效果。企业在实践中对数据进行使用的场景及方式多种多样,各不相同,其中较多涉及数据使用场景的有数据访问、算法推荐等。下文将在阐述数据使用基本原则的基础上,对前述数据使用场景下的使用要求及合规使用方式进行说明。


(一)使用原则


1. 合法、正当、必要原则

640 (18).png

2. 保障数据主体权利

640 (19).png

(二)数据访问

640 (20).png

(三)算法推荐


随着数字化的发展,算法推荐已然成为企业重要的生产工具,被广泛应用于信息分发及媒体传播领域。但其背后也隐藏着风险和危机,算法歧视、算法滥用等问题层出不穷。《互联网信息服务算法推荐管理规定》(以下简称《规定》)的出台即意味着我国开始逐步加强对算法推荐的规制,企业应当顺应这一监管趋势,履行算法推荐业务下的各项合规义务


1. 算法推荐业务下企业的义务

640 (21).png

2. 算法推荐的具体场景


《规定》中所称应用算法推荐技术,是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息。


(1)生成合成类

640 (22).png

(2)个性化推送类

640 (23).png

(3)排序精选类

640 (24).png

(4)检索过滤类

640 (25).png

(5)调度决策类

640 (26).png


二、企业向第三方提供的合规管理


(一)数据共享  

640 (27).png

(二)数据交易


1. 数据交易概述


(1)数据交易的背景


2015年4月15日,全国第一家数据公开交易所,即贵阳大数据交易所正式运营。截至2022年3月,全国由地方政府发起、主导或批复的数据交易所已有39家(数据来源:零壹智库《全国39家数据交易所对比:交易标的、交易方式与股东结构》),如北京国际大数据交易所、上海数据交易所等,数据交易方兴未艾。


数据交易可以有效发挥数据价值,释放数据的潜力但数据所承载的复杂的权利内容和权利主体又使得数据交易必须限定在特定范围内,并遵循特有的规则规范,《数据安全法》的出台提及数据交易的基本规则和交易机构应履行的义务,初步明确了数据交易行业的规范。企业应当对这些问题予以关注。


(2)数据交易的对象

640 (28).png

(3)数据的权属问题


《数据安全法》这一上位法并未涉及数据权属问题,对此社会各界亦存在争论。有观点认为,数据是在用户的使用过程中产生的,其权利主体应当是用户;也有观点认为,数据产生于数据服务商所提供的记录并存储数据的方式和设备,数据的所有权应当由商业机构和用户之间协商解决。


2.数据交易前的尽调


数据交易前的合规尽调审查是数据交易流程中的必经程序,涉及评估数据交易的标的、来源、主体资质等。

640 (29).png

3.数据交易合同的要点

640 (30).png


三、数据出境


随着全球化的发展,数据在国际间的流动日益频繁。为规制数据跨境的无序流动,我国持续出台相关法律法规,如《个人信息出境安全评估办法(征求意见稿)》《数据出境安全评估办法(征求意见稿)》等。实践中,数据出境的场景主要包括包括:(1)数据处理者将数据转移至我国境外;(2)虽未将数据转移至境外但接受主体为外籍主体;(3)虽未将数据转移至境外但将境内数据库的访问登录信息或接口提供给境外主体进行境外远程访问查看等。


近年来,“滴滴出行”(以下简称“滴滴”)赴美上市遭网络安全审查一类事件为其他企业敲响了警钟。“滴滴”在线上运行业务的过程中,将收集到上亿用户的行程、订单、车内录音等信息,其中不仅涉及用户个人信息,还包含道路、交通等外部敏感内容,且滴滴出行掌握的交通数据中,有部分信息属于绝密级别,亦有许多属于长期秘密。“滴滴”赴美上市将不可避免地涉及数据出境的问题,给数据安全带来重大隐患。企业应当意识到,“数据”作为国家的新型基础性资源,其跨境流动与国家安全、社会公共利益及数据主体权益紧密相连,对企业而言意义重大



1.数据出境的要求

640 (31).png

2. 数据出境安全评估

640 (33).png

3. 数据出境合同


企业因业务需要确需涉及数据出境,在经过自评估及网信部门安全评估后符合出境条件的,还应当在数据出境合同中与数据接收方作进一步的约定


(1)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;


(2)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;


(3)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;


(4)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;


(5)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款等。



四、数据的删除


《个人信息保护法》出台后,个人信息删除成为企业运营中的一个重点。企业应当明确在何种情形下应当对所收集的个人信息进行删除、如何删除等问题。


640 (34).png


本系列共四篇文章,系统梳理了数据合规的规范指引、监管逻辑,并从数据安全的制度建设及数据处理全流程的合规管理两部分对数据合规的内容进行了解析。企业可以《数据安全法》及相关法律法规的规定为指引,参照本系列文章,变被动为主动,启动企业数据安全合规体系建设,并持续关注国家监管趋势及政策的更新,为企业的稳健发展提供进一步的保障






2024 ©上海市光大律师事务所 | 免责条款 | 律谷科技出品